Erschienen am: 14.11.2017, Ausgabe SPS-MAGAZIN SPS-Special 2017

Im Interview fordert Katherine Voss, Präsidentin der ODVA, für Automatisierungsgeräte einen eingebauten Schutz vor Cyberangriffen.

CIP Security-Geräte kommen

Im November 2015 stellte die ODVA die erste Version von CIP Security vor. Im Interview mit Katherine Voss gehen wir der Frage nach, was sich seitdem getan hat, wie das System funktioniert und ab wann Anwender mit Geräten mit eingebauter Security-Funktion rechnen können.


Bild: ODVA Inc.

Welche Bedeutung hat Security heute in der Industrie der Maschinen- und Anlagenbauer?

Katherine Voss: Sowohl Endbenutzer als auch Anbieter erkennen die Bedeutung von entsprechenden Sicherheitsmaßnahmen. Aber der Einsatz von Cybersecurity hängt von vielen Faktoren ab, wie z.B. dem Installationsaufwand, den vorhandenen Richtlinien für Cybersicherheit und der Anwenderkompetenz. Infrastrukturbasierte Maßnahmen wie industrielle Firewalls, VPNs, Netzwerksegmentierungen und allgemeine Defense-in-Depth-Technologien machen heute einen großen Teil der industriellen Sicherheitslösung aus. Da die Industrie jedoch weiterhin auf dem Weg zu zunehmend vernetzten und autonomen Systemen mit immer größeren Datenmengen (Stichwort Digitale Transformation) konfrontiert ist, wird es immer wichtiger, geeignete Maßnahmen zu ergreifen, um die Verbindungspunkte und die zwischen diesen Punkten transportierten Nachrichten mithilfe von Techniken wie CIP Security abzusichern.

Wo liegen die Unterschiede zwischen IT- und OT-Sicherheit hinsichtlich der Anforderungen?

Voss: Die allgemeinen Ziele sind die gleichen: Verringerung des Risikos von Cybersicherheitsangriffen und/oder Minderung der Auswirkungen. Dabei geht es den Anwendern nicht nur um die Sicherheit ihrer Daten, sondern auch um Angriffe, die Produktionsprozesse bis zur Auszahlung des Lösegeldes blockieren könnten. In jeder Industrieanlage gibt es in der Regel eine 'DMZ'-Grenze oder 'entmilitarisierte Zone', die IT von OT trennt. Cybersicherheitsrichtlinien und -techniken können sich oberhalb und unterhalb dieser Grenze unterscheiden und CIP-Sicherheit wird in der Regel im OT-Bereich eingesetzt. CIP Security wird die Konvergenz zwischen IT und OT fördern, denn wenn das Gerät in der Lage ist, sich vor unbefugten oder böswilligen Zugriffen zu schützen, bestehen mehr Möglichkeiten, den Zugriff von anderen (vertrauenswürdigen) Systemen aus zu erlauben, die andernfalls als Teil des (nicht vertrauenswürdigen) IT-Systems betrachtet werden könnten. Umgekehrt können Geräte möglicherweise Daten produzieren, die direkter - und sicherer - in IT-Systeme fließen können.

Im November 2015 stellte die ODVA die erste Ausgabe von CIP Security vor. Was hat sich seitdem entwickelt?

Voss: Nachdem 2015 die erste offizielle Version von CIP Security veröffentlicht wurde, haben unsere Mitgliedsunternehmen der ODVA damit begonnen, entsprechende Produkte zu entwickeln. Da einige Produktdesigns kurz vor der Fertigstellung stehen, hat die OVDA-Herstellergemeinschaft zusammengearbeitet, um sicherzustellen, dass Themen wie Benutzerführung und Interoperabilität bei den Geräten einheitlich gestaltet sind. Wir erwarten verfügbare EtherNet/IP-Produkte mit CIP Security ab 2018. Auf der SPS IPC Drives können Besucher diese Technologie am ODVA-Stand in Halle 2 (Stand 410) in Aktion erleben. Seit der ersten Version 2015 wurden vier weitere Ausgaben des CIP Security-Bandes zur EtherNet/IP-Spezifikation veröffentlicht. Mit den neuen Ausgaben wurden Funktionen beispielsweise in Bereichen der Zertifikatsverwaltung ergänzt. Bereits begonnene zukünftige Erweiterungen betreffen vor allem Funktionen im Bereich der rollenbasierten Authentifizierung und Rechte.

Welche Geschichte steckt hinter CIP Security?

Voss: Ende 2001 führte die ODVA das Industrial-Ethernet-Netzwerk EtherNet/IP ein. EtherNet/IP ist weit verbreitet und heute gibt es Tausende von Produkten auf dem Markt. Während EtherNet/IP und Ethernet generell in der industriellen Automatisierung immer allgegenwärtiger wurden, erhöhte sich auch das Risiko von Cybersecurity-Angriffen. Deshalb war es für unsere Organisation eine wichtige Aufgabe, EtherNet/IP um spezifische Dienstleistungen für Cybersecurity zu erweitern - daraus ist die CIP Security-Technologie entstanden. Die Risikoreduzierung im Bezug auf Cyberattacken ist für die Industrie in Zeiten von offenen Systemen, erhöhter Konnektivität und erweitertem Datenaustausch eine schwierige Herausforderung. Die vierte industrielle Revolution wird neue Cybersecurity-Risiken für Automatisierungsplattformen von Anlagen und Fabriken mit sich bringen. Sicherheitsstrategien müssen sicher, wachsam und widerstandsfähig und vollständig integriert in flexible Geschäftsmodelle sein. Durch den Cyberspace entstehen auch in industriellen Steuerungssystemen neue Bedrohungen. Ungeprüft zurückgelassen, können Sicherheitslücken in Produktionssystemen, deren Komponenten und die gesamte Netzwerkinfrastruktur von Angreifern ausgenutzt werden. Das hat negative Auswirkungen auf den zuverlässigen und/oder sicheren Betrieb von Produktionsprozessen. Mit zunehmender Abhängigkeit von vernetzten Systemen und immer größeren Datenmengen wird es für die Systeme, Komponenten, Daten und Verbindungspunkte immer wichtiger, inhärent sicher zu sein. Betreiber von Produktionsanlagen müssen sich ernsthaft Gedanken darüber machen, wie Sensoren und andere Peripheriegeräte von außen zugänglich sein sollen. Mit CIP Security sind Anwender dazu in der Lage, zusätzliche Schritte zu unternehmen, um ihr Steuerungssystem mit Technologien für die sichere Übertragung von Nachrichten zwischen EtherNet/IP-Geräten und -Systemen abzusichern und so die Gefährdung durch Cybersicherheitsbedrohungen zu reduzieren.

Können Sie unseren Lesern erklären, wie der ODVA CIP-Security-Ansatz genau funktioniert? Was beinhaltet er?

Voss: Das Ziel von CIP Security ist es, die Verteidigungsfähigkeit von CIP-verbundenen Geräten - die letzte Ebene der Verteidigung - in einer Defense-in-Depth-Architektur zu verbessern. Das ultimative Ziel von CIP Security ist es, CIP-Geräte herzustellen, die dazu in der Lage sind, sich selbst zu verteidigen. Ein sich vollständig selbstverteidigendes CIP-Gerät wäre dazu in der Lage:

  • • geänderte Daten zurückzuweisen (Integrität),
  • • Nachrichten abzulehnen, die von nicht vertrauenswürdigen Personen oder Geräten gesendet werden (Authentizität),
  • • und Nachrichten abzulehnen, die nicht erlaubte Aktionen anfordern (Berechtigung).

CIP Security verwendet als primäre Technologie die sicheren IETF-basierten Transportmechanismen TLS und DTLS gemeinsam mit x.509-Zertifikaten. Diese wiederum nutzen Standard-Kryptographie-Mechanismen zur Verschlüsselung und zum Hashing. Dies sind bewährte Mechanismen, die von Menschen mit weitreichendem Cybersecurity-Know-how entwickelt wurden.

Was beinhaltet die CIP-Security-Lösung?

CIP Security ist Bestandteil der EtherNet/IP-Spezifikation, da vernetzte Produktionsgeräte durch die Verbindung zu den Unternehmensnetzwerken das größte Risiko für die Produktion darstellen. Stand heute definiert die Spezifikation die Mechanismen, gemeinsamen Verhaltensweisen und Anforderungen, um einen sicheren Transport der EtherNet/IP-Kommunikation zu gewährleisten. Zusätzliche CIP-Sicherheitsmaterialien werden im Laufe der Zeit zur Spezifikation hinzugefügt, um zusätzliche Cybersecurity-Anforderungen im Zusammenhang mit CIP und anderen physikalischen Layern zu adressieren. Aufgrund der Natur von typischen Benutzer-Workflows wird die CIP-Sicherheit auf Geräten in den meisten Fällen standardmäßig deaktiviert sein, sodass der Benutzer sich selbst dafür entscheiden kann, diese zu aktivieren. Er hat dann die Möglichkeit, einfachere Methoden wie die Verwendung von Pre-Shared-Keys für die Geräteauthentifizierung oder ausgefeiltere Mechanismen wie X. 509-Zertifikate zu nutzen. Der Benutzer kann je nach Anwendungsbedarf eine einzelne Vertrauenszone für Geräte oder mehrere Zonen erstellen. Obwohl es nicht erforderlich ist, dass alle Geräte mit CIP-Security-Unterstützung alle CIP-Sicherheitseigenschaften unterstützen, ist es für Kunden von CIP Security-fähigen Produkten sehr wichtig, die Sicherheitseigenschaften zu kennen, die von ihren Produkten unterstützt werden. Daher wurde eine Reihe von Security-Profilen entwickelt. Ein Sicherheitsprofil ist eine Reihe klar definierter Funktionen, die die Interoperabilität der Geräte und die Auswahl der Geräte durch den Endbenutzer mit den entsprechenden Sicherheitsfunktionen erleichtern.

Wie sieht der Zeitstrahl bei der Entwicklung

von CIP Security aus?

Wie bereits erwähnt, ist CIP Security fester Bestandteil der gesamten CIP-Spezifikation. Natürlich wird er ständig weiterentwickelt und ergänzt. Das liegt in der Natur der Sache: Security ist kein Status, sondern ein Prozess. Dieser unterliegt selbst einem ständigen Wandel. Im kommenden Jahr wird es erste Geräte mit integrierten Cybersicherheits-Funktionen geben. Wir laden alle Anwender ein, sich schon jetzt lauffähige Versionen solcher Geräte anzuschauen, beispielsweise auf der SPS IPC Drives in Nürnberg.

Anzeige